胡津銘 顧欣 陸臻

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車，個(gè)人信息，關(guān)鍵零部件，信息安全

0 引言

近年來(lái)，隨著傳統(tǒng)制造業(yè)向智能制造轉(zhuǎn)型升級(jí)的趨勢(shì)日益明顯，汽車產(chǎn)業(yè)作為國(guó)民經(jīng)濟(jì)的支柱，已成為中國(guó)制造業(yè)轉(zhuǎn)型升級(jí)的重要領(lǐng)域。相對(duì)于傳統(tǒng)汽車，智能網(wǎng)聯(lián)汽車優(yōu)勢(shì)明顯，智能網(wǎng)聯(lián)汽車配備了先進(jìn)的傳感器、控制器和執(zhí)行器等設(shè)備，除了具有復(fù)雜的環(huán)境感知、智能決策和協(xié)同控制功能外，還可以實(shí)現(xiàn)汽車與汽車、汽車與道路之間的信息智能交換和共享，實(shí)現(xiàn)“安全、高效、舒適、高效、安全”的目標(biāo)[1]。

從技術(shù)角度來(lái)看，智能網(wǎng)聯(lián)汽車是集前端環(huán)境感知、規(guī)劃決策、自動(dòng)駕駛、數(shù)據(jù)集中處理等多功能于一體的綜合產(chǎn)品，集中運(yùn)用了計(jì)算機(jī)、現(xiàn)代傳感、信息融合、網(wǎng)絡(luò)通訊、自動(dòng)控制等技術(shù)。此外，伴隨移動(dòng)通信技術(shù)的發(fā)展，車輛具有了與外部環(huán)境交互的功能，車輛也不再被視為一個(gè)封閉的框架[2-3]。這些改變雖然給智能網(wǎng)聯(lián)汽車帶來(lái)了更多的功能和更舒適的駕駛體驗(yàn)，但也暴露出了更多可能被攻擊者利用的信息安全風(fēng)險(xiǎn)面，使得智能網(wǎng)聯(lián)汽車成為攻擊者的目標(biāo)。由于智能網(wǎng)聯(lián)汽車收集了大量的用戶和環(huán)境數(shù)據(jù)，一旦遭到惡意的網(wǎng)絡(luò)攻擊，不僅會(huì)導(dǎo)致數(shù)據(jù)泄露或車輛系統(tǒng)服務(wù)中斷，還可能導(dǎo)致用戶生命財(cái)產(chǎn)損失。

為了保障智能網(wǎng)聯(lián)汽車的信息安全，在政策標(biāo)準(zhǔn)上，國(guó)內(nèi)外積極建立智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)法規(guī)體系。歐盟法規(guī)UN R1555《信息安全與信息安全管理系統(tǒng)》和UN R156《軟件升級(jí)與軟件升級(jí)管理系統(tǒng)》，對(duì)智能網(wǎng)聯(lián)汽車在信息安全上進(jìn)行了認(rèn)證規(guī)定，不滿足要求則不能銷售。我國(guó)智能運(yùn)輸系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 268）也已完成智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系構(gòu)建，將開(kāi)展涵蓋整車、系統(tǒng)部件等技術(shù)的15項(xiàng)標(biāo)準(zhǔn)制定和研究項(xiàng)目。在測(cè)試方法上，華鋒等[4]提出了一種汽車整車網(wǎng)絡(luò)安全測(cè)試框架，該框架給出了智能網(wǎng)聯(lián)汽車整車的測(cè)試思路和建議。Phu等[5]對(duì)包括智能網(wǎng)聯(lián)汽車在內(nèi)的物理網(wǎng)絡(luò)系統(tǒng)領(lǐng)域中的網(wǎng)絡(luò)安全測(cè)試方法進(jìn)行了總結(jié)，指出了基于模型的網(wǎng)絡(luò)安全測(cè)試方法的趨勢(shì)，但是上述兩文獻(xiàn)并未提出具體的測(cè)試方法。

綜上所述，為了研究切實(shí)可行的智能網(wǎng)聯(lián)汽車的信息安全測(cè)試方案，本文將首先對(duì)智能網(wǎng)聯(lián)汽車所面臨的安全威脅層面進(jìn)行分析和總結(jié)，進(jìn)而基于智能網(wǎng)聯(lián)汽車信息安全檢測(cè)的問(wèn)題，提出切實(shí)可行的智能網(wǎng)聯(lián)汽車信息安全測(cè)試方案，促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康有序發(fā)展。

1 智能網(wǎng)聯(lián)汽車安全威脅分析

當(dāng)前，智能網(wǎng)聯(lián)汽車已經(jīng)與網(wǎng)絡(luò)和通信技術(shù)深度融合，具有了環(huán)境感知、智能決策和協(xié)作控制等功能。因此，智能網(wǎng)聯(lián)汽車暴露出的可攻擊面相比于傳統(tǒng)汽車更多。分析智能網(wǎng)聯(lián)汽車的信息安全風(fēng)險(xiǎn)可以從兩個(gè)方面進(jìn)行：首先是技術(shù)層面，攻擊者通過(guò)了解目標(biāo)車輛，開(kāi)發(fā)出可以惡意控制目標(biāo)車輛的工具；其次是可操作性層面，攻擊者在發(fā)起攻擊時(shí)克服條件限制，例如通過(guò)攻擊OBD接口物理進(jìn)入汽車等?？傮w而言，智能網(wǎng)聯(lián)汽車主要包括以下層面的信息安全隱患。

1.1 間接物理攻擊

間接物理攻擊是針對(duì)智能網(wǎng)聯(lián)汽車眾多攻擊中最普遍的攻擊方式，例如OBD接口作為汽車上最重要的一個(gè)物理接口，可以通過(guò)該接口讀取汽車的運(yùn)行狀態(tài)數(shù)據(jù)等[6]，攻擊者可以直接通過(guò)OBD接口訪問(wèn)CAN-Bus進(jìn)而完全控制汽車的物理功能并造成威脅。同時(shí)有些車載設(shè)備可通過(guò)藍(lán)牙或WiFi技術(shù)與手機(jī)通信，并通過(guò)手機(jī)將數(shù)據(jù)上傳服務(wù)器。如果這些鏈路被攻擊者利用，同樣可以對(duì)汽車發(fā)起攻擊進(jìn)而控制智能網(wǎng)聯(lián)汽車。

1.2 短距離無(wú)線攻擊

比起間接物理攻擊的方式，短距離的無(wú)線攻擊應(yīng)該更靈活，威脅更大[7]。短距離無(wú)線攻擊方式包括WiFi、藍(lán)牙、無(wú)線數(shù)字鑰匙等，對(duì)于這些攻擊方法，攻擊者可以利用相應(yīng)的有效設(shè)備在汽車附近收發(fā)數(shù)據(jù)。例如，作為目前智能網(wǎng)聯(lián)汽車標(biāo)配的無(wú)線數(shù)字鑰匙，主要通過(guò)無(wú)線433HZ、125HZ、315HZ 三種頻率，以及基于KeeloQ加密算法的信號(hào)實(shí)現(xiàn)遠(yuǎn)程控制和認(rèn)證，攻擊者可以通過(guò)對(duì)無(wú)線數(shù)字鑰匙密鑰的破解，找到密鑰進(jìn)而對(duì)車輛造成負(fù)面影響。

1.3 遠(yuǎn)距離無(wú)線攻擊

遠(yuǎn)距離攻擊方式主要針對(duì)GPS、數(shù)字廣播等公用的通信鏈路，也包括蜂窩網(wǎng)絡(luò)、遠(yuǎn)程控制系統(tǒng)等專用通信鏈路。攻擊者可以在任何地方發(fā)起攻擊，這對(duì)汽車而言是最大的威脅。例如女巫攻擊（Sybil）是針對(duì)智能網(wǎng)聯(lián)汽車通信的一種典型攻擊方式[8]，通過(guò)偽造車輛身份標(biāo)識(shí)來(lái)創(chuàng)建錯(cuò)誤的目的地址，使原本合法的車輛標(biāo)識(shí)失去了真實(shí)性，從而達(dá)到破壞路由算法機(jī)制、修改數(shù)據(jù)整合結(jié)果的目的。

2 智能網(wǎng)聯(lián)汽車信息安全檢測(cè)存在的問(wèn)題

2.1 檢測(cè)因素多，檢測(cè)指標(biāo)繁雜

與傳統(tǒng)汽車相比，智能網(wǎng)聯(lián)汽車架構(gòu)設(shè)計(jì)更為復(fù)雜，涉及的通信協(xié)議更多。智能網(wǎng)聯(lián)汽車信息安全檢測(cè)所涉及的因素比傳統(tǒng)汽車更加復(fù)雜，包括感知系統(tǒng)、操作系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)等[9]。由于智能網(wǎng)聯(lián)汽車的各個(gè)部件和系統(tǒng)都有其獨(dú)特的檢測(cè)指標(biāo)和標(biāo)準(zhǔn)，因此，如何確定這些指標(biāo)和標(biāo)準(zhǔn)也是一項(xiàng)難題。

2.2 檢測(cè)手段落后，檢測(cè)效率低

智能網(wǎng)聯(lián)汽車主要是通過(guò)各種傳感器對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行收集，進(jìn)而通過(guò)智能分析，協(xié)助駕駛員操作，提高駕駛的安全性和舒適性[10]。然而，由于有些檢測(cè)技術(shù)較為落后，缺乏能夠充分滿足智能網(wǎng)聯(lián)汽車信息安全檢測(cè)需求全面性的檢測(cè)手段和設(shè)備，不僅會(huì)導(dǎo)致檢測(cè)效率低下，還會(huì)增加智能網(wǎng)聯(lián)汽車檢測(cè)的難度和成本。

3 安全性測(cè)試方案研究及分析

3.1 安全性測(cè)試方案

為減少智能網(wǎng)聯(lián)汽車產(chǎn)品存在潛在的信息安全隱患，針對(duì)智能網(wǎng)聯(lián)汽車開(kāi)展信息安全測(cè)試工作極其重要。本文根據(jù)前述對(duì)智能網(wǎng)聯(lián)汽車信息安全威脅的分析，利用 Nmap、IDA Pro、BurpSuite、Putty、Wireshark等測(cè)試工具，結(jié)合滲透測(cè)試、API攻擊、協(xié)議破解等方法，形成一套系統(tǒng)的智能網(wǎng)聯(lián)汽車信息安全測(cè)試方法，具體測(cè)試流程如圖1所示。

主要的測(cè)試項(xiàng)如表1所示，表1中為部分主要測(cè)試項(xiàng)目，隨著智能網(wǎng)聯(lián)汽車的發(fā)展，后續(xù)會(huì)繼續(xù)添加更多的測(cè)試項(xiàng)目。

3.2 安全性測(cè)試實(shí)例及分析

為了驗(yàn)證所提出智能網(wǎng)聯(lián)汽車信息安全測(cè)試方法的可行性，在本節(jié)中，選取某款智能網(wǎng)聯(lián)汽車開(kāi)展信息安全測(cè)試。本次測(cè)試中通過(guò)搭建測(cè)試環(huán)境，使智能網(wǎng)聯(lián)汽車關(guān)鍵零部件設(shè)備正常運(yùn)行并實(shí)現(xiàn)其功能，對(duì)設(shè)備運(yùn)行狀態(tài)下的安全進(jìn)行測(cè)試，并且通過(guò)對(duì)固件進(jìn)行代碼分析，開(kāi)展深度安全測(cè)試，對(duì)該款智能網(wǎng)聯(lián)汽車的剎車輔助、自動(dòng)巡航、自動(dòng)泊車等自動(dòng)駕駛功能進(jìn)行測(cè)試。

結(jié)合GB/T 30279—2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》中訪問(wèn)路徑、利用復(fù)雜度和影響程度3個(gè)方面和GB／T 40861-2021《汽車信息安全通用技術(shù)要求》等技術(shù)標(biāo)準(zhǔn)，選擇了靜態(tài)分析、動(dòng)態(tài)測(cè)試結(jié)合模擬仿真及滲透測(cè)試的方法，對(duì)系統(tǒng)可能存在的漏洞和安全隱患進(jìn)行檢測(cè)，并對(duì)系統(tǒng)的代碼規(guī)格、安全標(biāo)準(zhǔn)等進(jìn)行靜態(tài)分析，對(duì)輔助駕駛系統(tǒng)的源碼、配置文件進(jìn)行檢查和評(píng)價(jià)；通過(guò)對(duì)輔助駕駛系統(tǒng)進(jìn)行各種攻擊模擬的動(dòng)態(tài)測(cè)試，測(cè)試系統(tǒng)的抗攻擊能力和穩(wěn)定性，以及對(duì)系統(tǒng)的響應(yīng)速度、準(zhǔn)確性、可靠性等進(jìn)行測(cè)試和評(píng)估；通過(guò)模擬黑客攻擊等手段，對(duì)系統(tǒng)進(jìn)行安全滲透測(cè)試，評(píng)估系統(tǒng)的安全性和抵御攻擊的能力；最后，模擬仿真不同的駕駛場(chǎng)景和情況，測(cè)試輔助駕駛系統(tǒng)的適應(yīng)性和準(zhǔn)確性，并檢測(cè)系統(tǒng)可能存在的漏洞和安全隱患。經(jīng)過(guò)檢測(cè)，發(fā)現(xiàn)該款智能網(wǎng)聯(lián)汽車通信鏈路層自動(dòng)泊車數(shù)據(jù)傳輸加密、決策層固件可信根簽名安全和感知層ADAS通信可信根簽名等方面存在安全性問(wèn)題。

目前智能網(wǎng)聯(lián)汽車的測(cè)試主要在智能網(wǎng)聯(lián)試驗(yàn)場(chǎng)或示范區(qū)進(jìn)行，測(cè)試場(chǎng)大多采用在傳統(tǒng)試驗(yàn)場(chǎng)，很難復(fù)現(xiàn)智能網(wǎng)聯(lián)汽車實(shí)際運(yùn)行情況，針對(duì)智能網(wǎng)聯(lián)汽車的關(guān)鍵零部件測(cè)試，主要采用單獨(dú)測(cè)試零部件的方式，未考慮數(shù)據(jù)流流轉(zhuǎn)過(guò)程中的數(shù)據(jù)安全問(wèn)題[11]。本文所提智能網(wǎng)聯(lián)汽車信息安全測(cè)試方法在綜合考慮了智能網(wǎng)聯(lián)汽車組成結(jié)構(gòu)及關(guān)鍵零部件內(nèi)生關(guān)系、輔助駕駛采集數(shù)據(jù)流動(dòng)方向及生命周期基礎(chǔ)上，基于信息安全威脅分析，給出了智能網(wǎng)聯(lián)汽車信息安全測(cè)試方法，可對(duì)智能網(wǎng)聯(lián)汽車車信息安全和個(gè)人信息保護(hù)進(jìn)行一體化測(cè)試。

4 結(jié)語(yǔ)

智能網(wǎng)聯(lián)汽車信息安全是高效安全交通運(yùn)輸?shù)幕A(chǔ)和保障，也是保障人民群眾生命財(cái)產(chǎn)安全的必要選擇，是當(dāng)前國(guó)際汽車業(yè)備受關(guān)注的主題之一。隨著現(xiàn)代汽車已明顯向集成化、智能化和網(wǎng)絡(luò)化三個(gè)方向發(fā)展，在國(guó)家安全、社會(huì)經(jīng)濟(jì)安全方面對(duì)汽車信息安全提出了更高的要求。本文通過(guò)對(duì)智能網(wǎng)聯(lián)汽車架構(gòu)和安全威脅進(jìn)行分析，提出智能網(wǎng)聯(lián)汽車安全性測(cè)試項(xiàng)目和測(cè)試驗(yàn)證方法，為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)進(jìn)行信息安全檢測(cè)提供有效可行的方案，有助于促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康有序發(fā)展。